第4章漏洞扫描

1、第四章 漏洞扫描4.1 系统漏洞 n漏洞的概念 n漏洞也叫脆弱性(Vulnerability )，是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。n当程序遇到一个看似合理，但实际无法处理的问题时，而引发的不可预见的错误。n系统漏洞又称安全缺陷，一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。 4.1 系统漏洞n漏洞的概念n在计算机安全中，漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷，它能够被威胁利用，从而获得对信息的非授权访问或者破坏关键数据处理。n在计算机安全中，漏洞是指在

2、物理层、组织、程序、人员、软件或硬件方面的缺陷，它能够被利用而导致对自动数据处理系统或行为的损害。漏洞的存在并不能导致损害，漏洞仅仅是可以被攻击者利用，对自动数据处理系统或行为进行破坏的条件。n在计算机安全中，漏洞是指系统中存在的任何不足或缺陷。不同于前面的两个定义，这个定义指出漏洞是在许多不同层次和角度下可以觉察得到的预期功能。按照这个定义，漏洞是对用户、管理员和设计者意愿的一种违背，特别是对这种违背是由外部对象触发的 4.1 系统漏洞n已知系统漏洞 nLSASS相关漏洞 （缓冲区溢出漏洞）nRPC接口相关漏洞 nRPC-RPC（Remote Procedure Call Protocol）

3、远程过程调用协议nIE浏览器漏洞 （泄露用户信息）nURL处理漏洞 (访问某网站，更改浏览器主页)nURL规范漏洞 （恶意链接，中木马病毒）nFTP溢出系列漏洞 （破坏服务器）nGDI+漏洞 （图片携带病毒）n图形设备接口(GraphicsDeviceInterface）4.2 漏洞扫描相关知识 n漏洞扫描基本原理 n漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。n漏洞扫描方法n在端口扫描后得知目标主机操作系统类型、开启的端口以及端口上的网络服务，将这些相关信息

4、与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在n通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描对象分类n基于网络的扫描n从外部攻击者的角度对网络及系统架构进行的扫描，主要用于查找网络服务和协议中的漏洞。n可以及时获取网络漏洞信息，有效的发现那些网络服务和协议的漏洞，比如利用低版本的DNS Bind漏洞n能够监测到这些低版本的DNS Bind是否在运行。n一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，

5、构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描对象分类n基于主机的扫描n从一个内部用户的角度来检测操作系统级的漏洞(主要用于检测注册表和用户配置中的漏洞。n通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。n优势在于它能直接获取主机操作系统的底层细节(如特殊服务和配置的细节等。其缺点在于只有控制了目标主机，并将检测工具安装在目标主机，才能实施正常的扫描活动。 基于网络的扫描和基于主机的扫描各有优势，也各自存在

6、了一定的局限性。只有把二者结合起来，才能尽可能多的获取漏洞信息，为系统管理员评估系统的安全风险提供有力的保证。4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描方式分类 n主动扫描n传统的扫描方式，拥有较长的发展历史n通过给目标主机发送特定的包并收集回应包来取得相关信息的，当然，无响应本身也是信息，它表明可能存在过滤设备将探测包或探测回应包过滤了。n优势在于通常能较快获取信息，准确性也比较高n缺点在于易于被发现，很难掩盖扫描痕迹；要成功实施主动扫描通常需要突破防火墙，但突破防火墙是很困难的 4.2 漏洞扫描相关知识n漏洞扫描的分类 n扫描方式分类n被动扫描n通过监听网络包来取得信息。n由于被动扫

7、描具有很多优点。近来倍受重视，其主要优点是对它的检测几乎是不可能的。n被动扫描一般只需要监听网络流量而不需要主动发送网络包，也不易受防火墙影响。n缺点在于速度较慢而且准确性较差，当目标不产生网络流量时，就无法得知目标的任何信息。4.2 漏洞扫描相关知识n漏洞扫描器的组成 4.2 漏洞扫描相关知识n发送数据包机制n漏洞扫描是一种主动探测行为,需要根据漏洞的特征码来构造数据包并发送到目标主机。该机制的实现有两种:一种是建立正常的TCP/IP连接，构造数据段的内容。另外一种要求能够构造一些数据包的特殊字段，例如IP的分片标志和偏移量等等。n接收数据包机制n对于网络远程扫描，对方主机所回应的数据包就是

8、评估漏洞的原始资料，快速准确地接收数据包是漏洞扫描的基本保证因素。除了通过正常的TCP/IP协议栈进行处理，另外还可能需要接收原始数据包，这是由于对不同的漏洞所要分析的数据包的层次是不相同的，例如需要查看端口号或者查看TCP的标志位等，而一般的操作系统不提供内核中对原始数据包的处理。4.2 漏洞扫描相关知识n漏洞特征码数据库n漏洞特征码数据库是一种抽象的提法，是一个漏洞扫描器最为重要的部分。n发送机制需要根据特征码来发送探测数据包，接收数据包后也需要根据特征码来进行判断。n它的真实含义是指网络漏洞扫描器应该具备一个漏洞的知识库，主要包括每个漏洞的特征码，网络漏洞扫描器归根结底就是对网络数据包的

9、操作，所以特征码应该能够保证探测数据包的有效性和接收回应数据包后的判断的准确性。n虽然特征码最终会归结为数据包中某一字段的数值或者字符串，但是它决不是一个单一的值而是几个字段与其他判断条件相结合的值的集合。n由于漏洞的种类千差万别，提取漏洞的特征值是件比较困难的工作，所以实现漏洞扫描的关键其实是一个分析漏洞的过程，是一个建立、维护漏洞知识库并且能够及时更新它的工作。4.2 漏洞扫描相关知识n基于网络的漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等，而这些漏洞扫描的关键部分就是它所使用的漏洞库。n通过采用基于规则的匹配技术，即根据安全专家对网络系统安令漏洞、黑客攻击案例的分析和系统

10、管理员对网络系统安全配置的实际经验，可以形成一套标准的网络系统漏洞库，然后在此基础上构成相应的匹配规则，由扫描程序自动进行漏洞扫描。n漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能，漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间，因此漏洞库的编制要对每个存在安全隐患的网络服务建立对应的漏洞库文件。4.3 扫描策略与防范 n端口扫描与防范 n端口扫描就是通过连接到目标系统的TCP或UDP端口，来确定什么服务正在运行。n一个端口就是一个潜在的通信通道，也就是一个入侵通道。n从对黑客攻击行为的分析和收集的漏洞来看，绝大多数都是针对某一个网络服务，也就是针对某一个特定的端口的。n对目标计算

11、机进行端口扫描，能得到许多有用的信息。 端口扫描与防范n TCP协议概述 TCP扫描n全TCP连接 n直接连到目标端口并完成一个完整的三次握手过程(SYN，SYNACK和ACK)。Socket API提供的Connect ( )系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。n如果端口处于侦听状态，那么Connect ( )就能成功。否则，这个端口是不能用的，即没有提供服务。n优点n不需要任何权限，系统中的任何用户都可以使用这个调用。n速度快。如果对每个目标端口以线性的方式，使用单独的Connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。n缺点n

12、很容易被目标系统检测到，并且被过滤掉。目前的系统会对连接进行记录，因此目标计算机的日志文件会显示大量密集的连接和连接出错的消息记录，并且能很快地使它关闭。n针对这一缺陷，便产生了TCP SYN扫描，也就是通常说的半开放扫描TCP扫描nTCP SYN扫描n扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其他端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。n由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。n优点n即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。n缺点n在大部分操作系统下，发送

13、主机需要构造适用于这种扫描的IP包，并且在通常情况下必须要有超级用户权限才能建立自己的SYN数据包。TCP扫描nTCP FIN扫描n对某端口发送一个TCP FIN数据报给远端主机。n如果主机没有任何反馈，那么这个主机是存在的，而且正在监听这个端口；主机反馈一个TCP RST回来，那么说明该主机是存在的，但是没有监听这个端口。n由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多，也称作秘密扫描。另外，FIN数据包能够通过只监测SYN包的包过滤器。TCP扫描nTCP FIN扫描n这种方法和系统实现有一定的关系，有的系统不管端口是否打开，都回复RST，

14、如：Windows，CISCOn这种技术通常适用于UNIX目标主机，跟SYN扫描类似，FIN扫描也需要自己构造IP包。但是，也可以利用这个特点进行操作系统的探测。n例如，如果使用SYN扫描发现有端口开放（回复了SYN/ACK），而使用FIN扫描发现所有端口关闭的话（按照FIN方法，回复RST表示端口关闭，但Windows全部回复RST），则操作系统很可能是Windows系统。TCP扫描nTCP Xmas和TCP Null扫描n这两种扫描方式是TCP FIN 扫描的变种，Xmas扫描打开FIN，URG，PUSH 标记，而NULL扫描关闭所有标记。n这些组合的目的为了通过对FIN 包的过滤。n当一

15、个这种数据包达到一个关闭的端口，数据包会被丢掉并且返回一个RST数据包。如果是打开的端口则只是丢掉数据包不返回RST包。n缺点跟上面的类似，都是需要自己构造数据包，只适用于UNIX主机 TCP扫描n间接扫描 n间接扫描的思想是利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。n由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的行为，从而获得原始扫描的结果。n假定参与扫描过程的主机为攻击主机、伪装主机、目标主机。攻击机和目标机的角色非常明显。伪装机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送除了与扫描有关包以外的任何数据包。TCP扫描n间接扫描TCP扫描n间接扫描n第一

16、步n第二步TCP扫描n间接扫描n第三步UDP扫描nUDP协议概述 UDP扫描nUDP扫描 nUDP ICMP 端口不可达扫描 nUDP recvfrom()和write() 扫描 端口扫描的防范 n因为攻击主机发出的SYN包中有伪造的IP源地址，因此可以通过配置防火墙和边界路由器， 拒绝使用了伪造IP源地址如内部网络IP的包进入；n基于状态的防火墙可以防范端口扫描；nISP和网络管理员可通过出口过滤来防止有伪造IP地址的IP包流出；n对于Idle扫描，可以使用没有IPID值可预测漏洞的操作系统如Solaris、高版本Linux。所有和IPID值可预测漏洞有关的攻击对这些操作系统是无效的；n去掉

17、关于操作系统和提供网络服务的信息显示，甚至改变登录提示信息的显示内容，如提供一个虚假的操作系统信息，以蒙蔽攻击者。漏洞扫描n逐一探测扫描 n这类扫描器对于每个漏洞都有自己的探测程序并以插件形式来调用，用户可以根据需要扫描的漏洞来调度相应的探测程序。n探测程序的来源有两种:首先是提炼漏洞的特征码构造发送数据包，其次是直接采用一些安全站点公布的漏洞试探程序。n其本质就是模拟黑客的入侵过程，但是在程度上加以限制，以防止侵害到目标主机。n要恰到好处的控制探测程度是非常关键并具有较大难度的。因为程度太浅就无法保证探测的准确性，程度太深就会变成黑客入侵工具。n有效的探测程序不仅仅取决于漏洞特征码的提炼是否

18、精确而且受到漏洞本身特性的影响。漏洞扫描n逐一探测扫描n优点n从每个漏洞的个体特征出发，尽可能地模拟入侵和细化探测的标准，从一定程度上提高了探测的准确性n能够保证扫描的全面性，例如如果对方的网络服务程序并没有运行在默认的端口(例如WEB服务器的端口可以是除80和8080以外的端口)，仍然会对其进行探测，因为只要是所选取的漏洞扫描插件，都会被执行一遍。漏洞扫描n规则驱动型 n设计思想为首先进行初步的数据收集，收集到的初始数据包括系统信息和漏洞信息。然后检查规则集判断是否能从己得到的事实数据推导出新的漏洞信息。n例如发现目标主机正在运行旧版本的SENDMAIL服务，就可能认为该系统存在这方面的漏洞，很容易被攻击。n与“逐一探测”型的最大区别在于前者是有目的地驱动扫描而并非后者的“地毯式”扫描。 漏洞扫描n实例分析 nCGI IIS directory traversal漏洞njoit2拒绝服务攻击nHELLO Overflow缓冲区溢出攻击 漏洞扫描的防范n修改